iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 2
4
Security

鯊魚咬電纜:30天玩Wireshark系列 第 2

[BONUS Day1] CERT? CSIRT? 傻傻搞不清

挑戰不可能的可能,就是一天PO兩篇!!雖然主題是Wireshark,不過每天都會有一篇Bonus,內容則會介紹國內外一些資安組織、駭客組織、資安法規及國際間合作方式等等,希望除了技術以外也能介紹一點其他資安相關的資訊給大家~

Bonus第一天要介紹的主題是CERT與CSIRT,CERT的全名是電腦緊急應變小組(Computer Emergency Response Team),CSIRT(發音為「C-CERT」)則是電腦資安事件應變小組(Computer Security Incident Response Team)。相信很多人搞不清楚這兩種組織有什麼差異,或是甚至沒有聽過這兩種組織,其實這兩種組織的產生是有背後一段故事的。

目前全世界許多國家都建有CERT,主要業務之一就是負責協處國內的資安事件及發布資安警訊等,像台灣的TWCERT/CC和TWNCERT、美國的CERT和US-CERT、日本的JPCERT/CC、韓國的KrCERT/CC等等。最早的CERT是由美國卡內基美隆大學(Carnegie Mellon University)的軟體工程學院在美國國防部的資助下所建立的CERT/CC,一開始CERT/CC其實很排斥其他的單位使用CERT這個名字,甚至威脅要採取法律行動來對付使用CERT作為組織名稱一部份的組織,在這樣的狀況下,有些組織改使用CSIRT這個名稱來稱呼自己,除了能避免使用CERT的名稱,也能更加強調該組織擁有資安事件處置的能力。後來,CERT/CC對於其他組織名稱中包含CERT這幾個字已不這麼敏感,所以其實後來各國陸續還是有非常多名字包含CERT的組織成立,因此也有很多人會把CERT及CSIRT視為類似的組織,不過一般來說,若是想要強調組織本身的主要業務是資安事件處理的話,還是會偏向把組織名稱取做CSIRT,如台灣處理學網資安事件的TWCSIRT和趨勢科技自行建立處理產品或客戶發生的資安事件的TM-CSIRT等皆是,但像是台灣的TWCERT/CC業務不僅有民間資安事件處理,還有扶持國內組織建立CSIRT、提高全民資安意識跟國際交流等業務的話,就會把名字取叫CERT。不過老實說,每個國家對於CERT或CSIRT等資安組織的定義並不相同,負責的服務對象及業務範圍也不盡相同,所以也很有可能出現兩個都叫CERT的組織,負責的業務卻天差地遠的狀況出現。
https://ithelp.ithome.com.tw/upload/images/20171221/20107304rlfkXClSQN.png
圖1、TWCERT/CC的LOGO

另外還有一種組織叫做PSIRT(發音為「P-CERT」),全名是產品資安事件應變小組(Product Security Incident Response Team),這種組織光看名字就知道他們的定位比起CSIRT又更明確了,PSIRT只會處理特定公司產品所發生的資安事件或是漏洞修補等,例如IBM的IBM PSIRT、Panasonic的Panasonic PSIRT及群暉的Synology PSIRT等,這些組織就只會處理自家公司產品的漏洞或相關的資安事件。

對了,是不是有人也會好奇為什麼有的CERT後面要加一個/CC呢?這邊的CC意思是協調中心(Coordination Center),而每個國家只會有一個協調中心存在,該協調中心需要負責與國際資安組織進行協調,像台灣的協調中心就是TWCERT/CC,日本的協調中心就是JPCERT/CC。比較有趣的是,美國的CERT/CC雖然一開始認定自己是CC腳色,但他們後來與美國國土安全部合作建立US-CERT,並將CC這個腳色轉給名字並沒有包含CC兩字的US-CERT,同時也將自己的名字改做CERT Division,並將主力轉往資訊安全領域的研究及資安事件的分析。

https://ithelp.ithome.com.tw/upload/images/20171221/20107304yVNKs1kYIP.png
圖2、CERT Division 的LOGO

https://ithelp.ithome.com.tw/upload/images/20171221/201073048eKU2iOemc.png
圖3、US-CERT 的LOGO

另外講個小八卦,由於許多國家的CERT都是由學術單位開始成立的,像是臺灣、澳洲、美國、印尼等都是,但政府會在稍晚才發現成立CERT的重要性,所以就會把原本由學術單位所維運的CERT接手維運,或是由政府新創一個CERT來取代原有CERT的位置,這樣一來原本由學術單位所維運的CERT就失去了既有業務,如果新舊CERT有良好合作關係的話就沒關係,但舊CERT會必須另尋服務對象或業務範圍,甚至可能產生與政府單位後來成立的CERT關係會比較尷尬的狀況,所以展望全球各國的CERT組織,可能會出現一個國家有很多CERT組織的狀況,也很容易讓大家有點混淆,不知道出現資安事件時要找誰比較好。臺灣雖然也有許多CERT組織,但彼此分工的服務對象明確,所以比較不會有這樣的狀況出現。

好了,以上是對於一些資安組織的介紹,希望大家看了也能對於這些資安組織有進一步的了解,也知道發生資安事件的話應該要找誰處理才對,而明天的主題會進一步介紹台灣的TWCERT/CC跟TWNCERT喔,敬請期待~


上一篇
[Day 1] 與Wireshark的第一次接觸
下一篇
[Day 2] 工欲善其事,必先利其器:安裝Wireshark
系列文
鯊魚咬電纜:30天玩Wireshark51

2 則留言

0
Sergeyau
iT邦研究生 1 級 ‧ 2017-12-21 00:59:40

很好的介紹,謝謝分享。期待更多資安組織介紹喔

WLLO iT邦新手 4 級 ‧ 2017-12-21 23:30:00 檢舉

謝謝你的鼓勵,有任何問題或指教也都歡迎再留言喔~

0
柒拾柒
iT邦新手 5 級 ‧ 2017-12-22 15:59:08

謝謝你的介紹,讓文組小書僮對資安組織有了初步的理解
(原來CSIRT(發音為「C-CERT」)還以為是「C-CERT」呢^ ^)

WLLO iT邦新手 4 級 ‧ 2017-12-22 16:11:37 檢舉

謝謝你的鼓勵~
是說Ikea你都怎麼念呢?我都念成Ikea喔~

柒拾柒 iT邦新手 5 級 ‧ 2017-12-22 16:16:02 檢舉

不客氣,很期待你的下一篇文章!不要富堅喔^ ^
我和你一樣,都念IKEA,相信你COSTCO也是念COSTCO對吧

WLLO iT邦新手 4 級 ‧ 2017-12-22 17:07:31 檢舉

是的,我Youtube也是念Youtube喔~

我要留言

立即登入留言